Re: [Ayuda] Respecto a la vulnerabilidad en SSH

To: Sandino Araico Sánchez <sandino en sandino net>
Subject: Re: [Ayuda] Respecto a la vulnerabilidad en SSH
From: Arturo Espinosa Aldama <arturo en ximian com>
Date: Fri, 28 Jun 2002 20:49:06 -0400 (EDT)
Cc: Gunnar Wolf <gwolf en campus iztacala unam mx>, "Miguel Santos N. (S)" <manjava en thor celnet com mx>, "ayuda en linux org mx" <ayuda en linux org mx>
In-reply-to: <3D1CFF9D.D40D2D9D@sandino.net>
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Reply-to: <arturo en ximian com>
Sender: ayuda-admin en linux org mx

On Fri, 28 Jun 2002, Sandino Araico Sánchez wrote:

> Arturo Espinosa Aldama wrote:
>
> > On Thu, 27 Jun 2002, Gunnar Wolf wrote:
> >
> > Snip a todo lo demas, porque estoy de acuerdo con todo esto. Y tambien muy
> > buenos posts de Sandino.
> >
> > > Ahora, Arturo, algo que me preocupa: Si como desarrollador te da igual la
> > > seguridad en tu estacion de trabajo, si no tienes tal vez no una obsesion,
> > > pero si un fuerte y constante cuidado por la seguridad... Como es el
> > > codigo que produces? Si no estas acostumbrado a pensar en la seguridad, no
> > > estas acostumbrado a producirla.
> >
> > Sorry, pero no es lo mismo aprender iptables, conocer los hoyos de tu
> > distribucion favorita y leer bugtraq que idear mecanismos de defensa
> > contra ataques o comprender la matematica y teoria detras de los metodos
> > criptograficos actuales.
>
> Hay una parte en donde definitivamente se empalman ambos mundos.
> http://www.openbsd.org/security.html#process
>
>
> > Solo recuerda que no todo lo que es programacion es para hacer clientes y
> > servidores de internet;
>
> Tal vez la persona que escribió zlib no estaba pensando en clientes y
> servidores al momento de programar sino en comprimir y descomprimir (lógico,
> ¿no?); sin embargo, algún tiempo después, le salió un agujero explotable y le
> pegó a muchos servidores.....
>
> Aunque tengo que reconocer que es muy difícil tener el panorama completo de la
> usabilidad, la optimización y la seguridad juntas incluso al estar
> programando.......

Muy interesante, pero a la vez, si un proyecto que va a estar expuesto a
ataques va a depender de una biblioteca, los del proyecto tienen que
asegurarse que la biblioteca no tiene hoyos, asi que tal vez no era tanto
la responsabilidad del autor de zlib pensar tanto en seguridad, al menos
no si su meta inicial era sólo comprimir y descomprimir datos, olvidándose
de cualquier contexto práctico.

Por eso xscreensaver no usa GTK+ para desplegar el diálogo de password, y
por eso hay muchos trucos de wrappers aislantes y proxies para cuando un
programa con ambiente gráfico va a usar setuid.

Pero muy buen punto, de todos modos! Seguro los de Outlook dijeron "pero
nosotros sólo queríamos hacer un lector de correo". :)

Saludos,
Arturo

_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Referencias:
- Re: [Ayuda] Respecto a la vulnerabilidad en SSH
  - De: Sandino Araico Sánchez

Previo por Fecha: Re: [Ayuda] Upgrade de Bios en RedHat
Siguiente por Fecha: Re: [Ayuda] Respecto a Red Hat y la religisn
Previo por Hilo: Re: [Ayuda] Respecto a la vulnerabilidad en SSH
Siguiente por Hilo: Re: [Ayuda] Respecto a la vulnerabilidad en SSH

[Hilos de Discusión] [Fecha] [Tema] [Autor]